SAP HANA Security: Komplett opplæring

by: Mason Garcia Mason Garcia
Hours oppdatert

Hva er Sap Hana Security?

SAP HANA Security beskytter viktige data mot uautorisert tilgang og sørger for at standarder og samsvar oppfyller som sikkerhetsstandard vedtatt av selskapet.

SAP HANA tilbyr en funksjon, dvs. Multitenant-database, der flere databaser kan opprettes på én enkelt SAP HANA-systemet. Det er kjent som multitenant-databasebeholder. Så SAP HANA gir alle sikkerhetsrelaterte funksjoner for alle multitenant-databasebeholdere.

SAP HANNA Gi følgende sikkerhetsrelaterte funksjoner –

  • Bruker- og rollestyring
  • autorisasjon
  • Autentisering
  • Kryptering av data i Persistence Layer
  • Kryptering av data i Network Layer

SAP HANA bruker og rolle

SAP HANA bruker- og rolleadministrasjonskonfigurasjon avhenger av arkitekturen som nedenfor –

  1. 3-Tier Architecture.

    SAP HANA kan brukes som en relasjonsdatabase i en 3-lags Architecture.

    I denne arkitekturen er sikkerhetsfunksjoner (autorisering, autentisering, kryptering og revisjon) installert på applikasjonsserverlag.

    SAP applikasjon (ERP, BW, etc.) kobles til databasen kun ved hjelp av en teknisk bruker eller databaseadministrator (Basis Person). Sluttbrukeren kan ikke få direkte tilgang til databasen eller databaseserveren.

SAP HANA 3-lags Architecture

  1. 2-Tier Architecture.

    SAP HANA utvidede applikasjonstjenester (SAP HANA XS) er basert på 2-Tier Architecture, der applikasjonsserver, webserver og utviklingsmiljø er innebygd i ett enkelt system.

SAP HANA 2-lags Architecture

SAP HANA-autentisering

Databasebruker identifiserer hvem som har tilgang til SAP HANA-databasen. Det verifiseres gjennom en prosess kalt "Autentisering." SAP HANA støtter mange autentiseringsmetoder. Single Sign-on (SSO) brukes til å integrere flere autentiseringsmetoder.

SAP HANA støtter følgende autentiseringsmetode -

  • Kerberos: Den kan brukes i følgende tilfeller -
  • Direkte fra JDBC og ODBC Client (SAP HANA Studio).

  • Når HTTP brukes til å få tilgang SAP HANA XS.

  • Brukernavn passord Når brukeren skriver inn databasebrukernavnet og passordet, da SAP HANA Database autentiserer brukeren.

  • Security Assertion Markup Language (SAML)

    SAML kan brukes til å autentisere SAP HANA-bruker, som har tilgang SAP HANA Database direkte gjennom ODBC/JDBC. Det er en prosess for å kartlegge ekstern brukeridentitet til den interne databasebrukeren, slik at brukeren kan logge på sap-databasen med den eksterne bruker-IDen.

  • SAP Påloggings- og påstandsbilletter

    Brukeren kan autentiseres av påloggings- eller påstandsbilletter, som konfigureres og utstedes til brukeren for å opprette en billett.

  • X.509 klientsertifikater

    Når SAP HANA XS-tilgang via HTTP, klientsertifikater signert av en pålitelig sertifiseringsinstans (CA) kan brukes til å autentisere brukeren.

SAP HANA-autorisasjon

SAP HANA-autorisasjon kreves når en bruker som bruker klientgrensesnitt (JDBC, ODBC eller HTTP) for å få tilgang til SAP HANA database.

Avhengig av autorisasjonen som er gitt til brukeren, kan den utføre databaseoperasjoner på databaseobjektet. Denne autorisasjonen kalles «privilegier».

Privilegiene kan gis til brukeren direkte eller indirekte (gjennom roller). Alle rettigheter som tildeles brukere, kombineres som en enkelt enhet.

Når en bruker prøver å få tilgang til noen SAP HANA Databaseobjekt, HANA System utfører autorisasjonssjekk av brukeren gjennom brukerroller og gir rettighetene direkte.

Når forespurte privilegier funnet, hopper HANA-systemet over ytterligere kontroller og gir tilgang til forespørsel om databaseobjekter.

In SAP HANA følgende privilegier er deres –

Typer av privilegier Tekniske beskrivelser
Systemprivilegier Den kontrollerer normal systemaktivitet. Systemprivilegier brukes hovedsakelig til –

  • Opprette og slette skjema i SAP HANA-database
  • Administrere bruker og rolle i SAP HANA-database
  • Overvåking og sporing av SAP HANA database
  • Utføre sikkerhetskopiering av data
  • Administrere lisens
  • Administrer versjon
  • Administrere revisjon
  • Importere og eksportere innhold
  • Vedlikehold av leveringsenheter
Objektprivilegier Objektprivilegier er SQL privilegier som brukes til å gi autorisasjon til å lese og endre databaseobjekter. For å få tilgang til databaseobjekter trenger brukeren objektprivilegier på databaseobjekter eller på skjemaet som databaseobjektet eksisterer i. Objektprivilegier kan gis til katalogobjekter (tabell, visning osv.) eller ikke-katalogobjekter (utviklingsobjekter).
Objektprivilegier er som nedenfor –

  • LAG HVILKE som helst
  • OPPDATERE, SETTE INN, VELG, SLETT, DROP, ENDRE, UTFØR
  • INDEKS, TRIGGER, DEBUG, REFERANSER
Analytiske privilegier Analytiske privilegier brukes for å tillate lesetilgang på data fra SAP HANA Informasjonsmodell (attributtvisning, analytisk visning, beregningsvisning).

  • Dette privilegiet blir evaluert under spørringsbehandlingen.
  • Analytiske privilegier gir forskjellig brukertilgang til forskjellige deler av data i
  • Samme informasjonsvisning basert på brukerrolle.
  • Analytiske privilegier brukes i SAP HANA-database for å gi data på radnivå

Kontroll for individuelle brukere for å se dataene er i samme visning.
Pakkerettigheter Pakkeprivilegier brukes til å gi autorisasjon for handlinger på individuelle pakker i SAP HANA Repository.
Søknadsrettigheter Søknadsrettigheter kreves i In SAP HANA utvidede applikasjonstjenester (SAP HANA XS) for tilgangsapplikasjon.

Applikasjonsrettigheter gis og tilbakekalles gjennom prosedyreneGRANT_APPLICATION_PRIVILEGE og REVOKE_APPLICATION_PRIVILEGE i _SYS_REPO-skjemaet.
Rettigheter på bruker Det er en SQL-privilegier, som kan gis av brukeren på egen bruker. ATTACH DEBUGGER er det eneste privilegiet som kan gis til en bruker.

RELATERTE ARTIKLER

SAP HANA brukeradministrasjon og rollestyring

Å få tilgang SAP HANA-database, brukere kreves. Avhengig av de forskjellige sikkerhetspolicyene er det to typer brukere SAP HANA som nedenfor –

  1. Teknisk bruker (DBA-bruker) – Det er en bruker som direkte jobber med SAP HANA-database med nødvendige rettigheter. Normalt blir ikke disse brukerne slettet fra databasen.

    Disse brukerne er opprettet for en administrativ oppgave som å lage et objekt og gi rettigheter på databaseobjektet eller på applikasjonen.

    SAP HANA-databasesystemet gir følgende bruker som standard som standardbruker–

  • SYSTEM
  • SYS
  • _SYS_REPO

  1. Database eller ekte bruker: Hver bruker som ønsker å jobbe med SAP HANA-database, trenger en databasebruker. Databasebrukere er en ekte person som jobber med SAP HANA.

    Det er to typer databasebrukere som nedenfor –

Brukertype Tekniske beskrivelser Rolle tildelt
Standard bruker Denne brukeren kan lage objekter i et eget skjema og lese data i systemvisninger. Standardbruker opprettet med "CREATE USER"-setning. PUBLIC-rollen er tildelt for lesesystemvisninger.
Begrenset bruker Begrenset bruker har ingen full SQL-tilgang via en SQL-konsoll og opprettet med "CREATE RESTRICTED USER"-setningen. Hvis det kreves privilegier for bruk av en applikasjon, gis de gjennom rollen.

  • Begrenset bruker kan ikke opprette databaseobjekter.
  • Begrenset bruker kan ikke se data i databasen.
  • Begrenset bruker kobler til databasen kun via HTTP.
  • ODBC/JDBC-tilgang for klienttilkobling må være aktivert med SQL-setning.
 RESTRICTED_USER_ODBC_ACCESS eller RESTRICTED_USER_JDBC_ACCESS rolle kreves for brukeren for full tilgang til ODBC/JDBC-funksjonalitet

SAP HANA-brukeradministrator har tilgang til følgende aktivitet –

  1. Opprett/slett bruker.
  2. Definer og opprett rolle.
  3. Gi rolle til brukeren.
  4. Tilbakestiller brukerpassord.
  5. Reaktiver / deaktiver bruker i henhold til krav.

1. Opprett bruker i SAP HANA- bare databasebruker med ROLE ADMIN-rettigheter kan opprette bruker og rolle i SAP HANA.

Trinn 1) For å opprette ny bruker i SAP HANA Studio gå til sikkerhetsfanen som vist nedenfor og følg følgende trinn;

  1. Gå til sikkerhetsnoden.
  2. Velg Brukere (høyreklikk) -> Ny bruker.

Opprett bruker i SAP HANNA

Trinn 2) En brukeropprettingsskjerm vises.

  1. Skriv inn brukernavn.
  2. Skriv inn passord for brukeren.
  3. Disse er autentiseringsmekanismer, som standard brukes brukernavn / passord for autentisering.

Opprett bruker i SAP HANNA

Ved å klikke på distribusjonenOpprett bruker i SAP HANNAKnappebruker vil bli opprettet.

2. Definer og opprett rolle

En rolle er en samling privilegier som kan gis til andre brukere eller roller. Rollen inkluderer privilegier for databaseobjekt og applikasjon og avhengig av jobbens art.

Det er en standardmekanisme for å gi privilegier. Privilegier kan gis direkte til brukeren. Det er mange standardroller (f.eks. MODELLERING, OVERVÅKING, etc.) tilgjengelig i SAP HANA database.

Vi kan bruke standardrollen som mal for å lage en egendefinert rolle.

En rolle kan inneholde følgende privilegier –

  • Systemrettigheter for administrasjons- og utviklingsoppgaver (KATALOGLES, REVISJONADMINO, etc.)
  • Objektrettigheter for databaseobjekter (SELECT, INSERT, DELETE, etc.)
  • Analytiske privilegier for SAP HANA informasjonsvisning
  • Pakkerettigheter på depotpakker (REPO.READ, REPO.EDIT_NATIVE_OBJECTS, etc.)
  • Søknadsrettigheter for SAP HANA XS-applikasjoner.
  • Rettigheter på brukeren (For feilsøking av prosedyre).

Rolleoppretting

Trinn 1) I dette trinnet

  1. Gå til Security node in SAP HANA-systemet.
  2. Velg Rolle Node (høyreklikk) og velg Ny rolle.

Rolleoppretting i SAP HANNA

Trinn 2) En rolleopprettingsskjerm vises.

Rolleoppretting i SAP HANNA

  1. Oppgi rollenavn under Ny rolleblokk.
  2. Velg kategorien Tildelt rolle, og klikk på "+"-ikonet for å legge til standardrolle eller avsluttende rolle.
  3. Velg ønsket rolle (f.eks. MODELLERING, OVERVÅKING, etc.)

Trinn 3) I dette trinnet

  1. Valgt rolle legges til i kategorien Tildelte roller.
  2. Privilegier kan tildeles brukeren direkte ved å velge Systemprivilegier, objektprivilegier, analytiske privilegier, pakkeprivilegier, etc.
  3. Klikk på distribusjonsikonet for å opprette Rolle.

Rolleoppretting i SAP HANNA

Kryss av for alternativet "Kan gis til andre brukere og roller", hvis du vil tilordne denne rollen til annen bruker og rolle.

3. Gi rolle til bruker

Trinn 1) I dette trinnet vil vi tildele rollen "MODELLING_VIEW" til en annen bruker "ABHI_TEST".

  1. Gå til User sub-node under Security node og dobbeltklikk på den. Brukervinduet vises.
  2. Klikk på Tildelte roller "+"-ikonet.
  3. Et popup-vindu vises, søkerollenavn som vil bli tildelt brukeren.

Gi rolle til bruker i SAP HANNA

Trinn 2) I dette trinnet vil rollen «MODELLING_VIEW» bli lagt til under Rolle.

Gi rolle til bruker i SAP HANNA

Trinn 3) I dette trinnet

  1. Klikk på Deploy-knappen.
  2. En melding "Bruker 'ABHI_TEST" endret vises.

Gi rolle til brukeren

4. Tilbakestilling av brukerpassord

Hvis brukerpassordet må tilbakestilles, går du til Brukerundernode under Sikkerhetsnode og dobbeltklikker på det. Brukervinduet vises.

Trinn 1) I dette trinnet

  1. Skriv inn nytt passord.
  2. Skriv inn Bekreft passord.

Tilbakestiller brukerpassord

Trinn 2) I dette trinnet

  1. Klikk på Deploy-knappen.
  2. En melding "Bruker 'ABHI_TEST" endret vises.

Tilbakestiller brukerpassordet inn SAP HANNA

5. Aktiver/deaktiver bruker på nytt

Gå til User sub-node under Security node og dobbeltklikk på den. Brukervinduet vises.

Det er De-aktiver bruker-ikonet. Klikk på den

Aktiver/deaktiver bruker på nytt SAP HANNA

En bekreftelsesmelding "Popup" vises. Klikk på 'Ja'-knappen.

Aktiver/deaktiver bruker på nytt SAP HANNA

En melding "Bruker 'ABHI_TEST' deaktivert" vil vises. Deaktiver-ikonet endres med navnet "Aktiver bruker". Nå kan vi aktivere bruker fra samme ikon.

SAP HANA-lisensadministrasjon

Lisensnøkkelen kreves for å bruke SAP HANA-databasen. En lisensnøkkel kan installeres og slettes ved hjelp av SAP HANA Studio, SAP HANA HDBSQL kommandolinjeverktøy og HANA SQL Query editor.

SAP HANA-database støtter to typer lisensnøkler –

  • Permanent lisensnøkkel: Permanente lisensnøkler er gyldige til utløpsdatoen. Vi må be om og bruke lisensnøkkelen før den utløper. Hvis lisensnøkkelen utløper, installeres den midlertidige lisensnøkkelen automatisk i 28 dager.
  • Midlertidig lisensnøkkel: Denne installeres automatisk med en ny SAP HANA-databaseinstallasjon. Den er gyldig i 90 dager og senere kan søkes om Permanent nøkkel fra SAP.

Autorisasjon av lisensadministrasjon

«LISENSADMINISTRER» privilegier kreves for lisensadministrasjon.

SAP HANA revisjon

SAP HANA Auditing-funksjoner lar deg overvåke og registrere handlinger som utføres i SAP HANA-systemet. Denne funksjonen bør aktiveres for systemet før du oppretter revisjonspolicy.

Autorisasjon for SAP HANA revisjon

«REVISJONSADMINISTRATION»Systemprivilegier kreves for SAP HANA revisjon.

Sammendrag

I denne opplæringen har vi lært følgende emne -

  • SAP HANA Sikkerhetsoversikt.
  • SAP HANA-autentisering i detalj.
  • SAP HANA-autorisasjon i detalj.
  • SAP HANA brukeradministrasjonsmetode.
  • SAP HANA rolleadministrasjonsmetode
  • SAP HANA-lisensadministrasjonsprosess.
  • SAP HANA rollerevisjonsprosess.

Oppsummer dette innlegget med: